博客网站因比特币赎金被黑

情景再现

9月9日，一个阳光明媚的清晨，当我访问我的博客网站时，我发现无法打开它。当时我怀疑有几点：

1、是不是域名解析有问题，毕竟是一个没有记录的网站。经排查什么网站可以买比特币，域名解析正常。

2、购买的VPS是否过期？查了一下，没有过期，可以ping通，说明没有被屏蔽。

3、tomcat 服务已关闭。经查什么网站可以买比特币，tomcat还在运行，但报错。

重点是tomcat日志报错，表't_contents'不存在。 mysql服务关闭了吗？先重启一个服务mysqld restart，发现错误依旧。这时候好像有一种不祥的预感，数据表不会被删除吧？ ！用navicat快速查了一下，发现表还在，只是已经不是当年的表了。如下图：

什么情况，表的数量翻了一番，表名有奇怪的后缀。以t_contents为例，它变成了两个表，t_contents_encrypt和t_contents_warning。打开t_contents_encrypt，看到世界观崩溃了，所有字段值都变成了二进制blob：

表示本博客网站上的所有数据均已被篡改，且所有数据均已加密。打开t_contents_warning表，只有一行数据：

消息字段内容如下：

Your `t_contents` table has been encrypted. For decription you need to pay 0.060000 bitcoin to the address 1GAkBavcFKkRbc4tBHD6LwQiTfNrJatxnZ
After payment you should go to the http://bp7hhvchre5ifqd6.onion/order/1GAkBavcFKkRbc4tBHD6LwQiTfNrJatxnZ using tor client and get your unique secret key.
After receiving the key, you must execute mysql request: UPDATE t_contents SET field = AES_DECRYPT(field, 'YOUR-SECRET-KEY');
If you want, you can check how this works on this table. Field "secretProof" is encrypted with a simple key, execute the request:
UPDATE t_contents_WARNING SET secretProof = AES_DECRYPT(secretProof, 'keyForProof');
Attention. This key does not work for your master data. Do not use it, otherwise you may permanently damage the data. To get the key you need, contact us.Field `tableStruct` contains the original names and type of your table. The key for decoding is the same as key for prof: keyForProof

这一段英文的大致意思是：你的手表已经加密，需要支付0.06比特币才能解密。支付完成后，去某个网站获取解密后的key，然后执行数据库脚本解密。黑客同学还举了一个人性化的例子，证明加密后的数据可以用秘钥解密。

我终于明白黑客是想赚钱了。如果不是因为家庭困难，他们可能不会这样做。我上网查了一下比特币的价格。 1比特币约1万美元，0.06比特币约4000元。我建网站的成本只有几百块钱，这一次敲诈4000大洋，真是高估了我的经济实力。即使你真的砸了钱，也未必能换取数据的准确性，因为黑客不会对你的数据负责。

数据恢复

比特币如此昂贵，黑客也不可靠，所以购买比特币绝对不是话题。看着一堆加密数据和一个破碎的网站，难免有些失落。所有的数据都是用AES加密的，就算是暴力破解，也够我计算好几年了，解密几乎是不可能的。幸运的是，我曾经在本地备份了部分数据，我也在segmentfault网站上发布了相同的博客。经过恢复和复制，网站上的数据终于恢复了，没有危险。

安全防护

我的博客网站暴露在外网，安全级别不高，很容易被黑客扫描。建议您采取以下措施：

1、使用更复杂的数据库密码，最好是数字、字母和特殊符号的混合，以增加暴力破解的难度。

2、mysql 阻止访问外网：

找到/etc/mysql/my.cnf文件，设置为只允许本机访问bind-address=127.0.0.1

3、修改用户权限：

在mysql库中找到user表，删除目标%或不熟悉主机的Authorization。

数据备份

出于安全考虑，建议定期备份mysql数据。

1、创建可执行脚本文件backupdb.sh

2、将文件内容修改为：

#!/bin/sh
db_user="root"
db_passwd="123456"
db_name="dbname"
name="$(date +"%Y%m%d%H%M%S")"
/usr/bin/mysqldump -u$db_user -p$db_passwd $db_name >>/opt/backup/mysql/$name.sql

3、添加 cron 任务

crontab -e

输入 00 01 * /opt/backup/backupdb.sh 保存。该表达式表示每天凌晨 1:00 进行数据备份。